展恩寧 朱瑞新 游相武 李智輝

（1.遼寧省高速公路運(yùn)營(yíng)管理有限責(zé)任公司，遼寧 沈陽(yáng) 110801；2.廣州優(yōu)路加信息科技有限公司，廣東 廣州 510665）

一、引言

隨著中國(guó)經(jīng)濟(jì)社會(huì)發(fā)展步入新常態(tài)，交通運(yùn)輸要求越來(lái)越多元化、個(gè)性化，廣大人民群眾也需要更高質(zhì)量、更高效的公共交通出行服務(wù)。貫徹落實(shí)交通強(qiáng)國(guó)建設(shè)、以智慧創(chuàng)新為重點(diǎn)、以提高公共出行服務(wù)水平和管理水平為目標(biāo)，積極建設(shè)新型高速公路一站式出行服務(wù)體系，提高群眾獲得感、幸福感、安全感。

隨著我國(guó)ETC聯(lián)網(wǎng)系統(tǒng)與國(guó)家高速公路一站式“互聯(lián)網(wǎng)+”出行信息化服務(wù)平臺(tái)（以下簡(jiǎn)稱“平臺(tái)”）的應(yīng)用普及，借助數(shù)字化、虛擬現(xiàn)實(shí)、新一代人工智能、物聯(lián)網(wǎng)等先進(jìn)技術(shù)手段的融合發(fā)展，信息安全問(wèn)題也日趨突出。如何為司乘人員提供更加及時(shí)、方便、快捷、準(zhǔn)確的出行信息服務(wù)，如何保障隱私、信息安全，日益成為高速公路“互聯(lián)網(wǎng)+”信息化服務(wù)運(yùn)營(yíng)管理的重點(diǎn)和難點(diǎn)。

本文以某省高速公路聯(lián)網(wǎng)電子收費(fèi)管理系統(tǒng)為例，在該系統(tǒng)已投入大量資金用于安全加固和安全服務(wù)運(yùn)營(yíng)，且已具備較好安全防范措施的前提下，探析為何通過(guò)一次攻防演練仍可讓其破防淪陷，并從中總結(jié)和反思，研究如何進(jìn)一步提升信息化服務(wù)安全防范能力和水平，給出解決方案。(注:攻防訓(xùn)練內(nèi)容組織，遵循可信可控又可管的思路，在實(shí)戰(zhàn)訓(xùn)練中發(fā)現(xiàn)問(wèn)題、總結(jié)經(jīng)驗(yàn)、吸取教訓(xùn)，從被動(dòng)防范變?yōu)橹鲃?dòng)防御，查漏補(bǔ)缺。所有發(fā)現(xiàn)的問(wèn)題均已經(jīng)整改完成未造成任何實(shí)際損失)。

二、信息化服務(wù)安全建設(shè)現(xiàn)狀

當(dāng)前利用人工智能，機(jī)器人和大數(shù)據(jù)分析互聯(lián)網(wǎng)平臺(tái)開(kāi)展運(yùn)營(yíng)，打通高速公路各類信息資源，通過(guò)移動(dòng)互聯(lián)網(wǎng)、手機(jī)終端等多方平臺(tái)完善和融合拓展“互聯(lián)網(wǎng)+”服務(wù)內(nèi)容已經(jīng)成為大勢(shì)所趨，各省都開(kāi)發(fā)了如，高速通出行服務(wù)App、出行服務(wù)微信公眾號(hào)/小程序、高速救援服務(wù)系統(tǒng)、高速移動(dòng)支付系統(tǒng)、高速智能多客服系統(tǒng)和高速運(yùn)營(yíng)服務(wù)系統(tǒng)等應(yīng)用。從業(yè)務(wù)上，系統(tǒng)需要打通互聯(lián)網(wǎng)、高速公路監(jiān)控網(wǎng)、收費(fèi)網(wǎng)等不同數(shù)據(jù)安全級(jí)別和密級(jí)的網(wǎng)絡(luò)區(qū)間；從系統(tǒng)服務(wù)響應(yīng)水平和經(jīng)濟(jì)性上，需要充分利用公有云云計(jì)算服務(wù)。

高速公路建設(shè)運(yùn)營(yíng)管理存在技術(shù)和管理不足，會(huì)造成信息化網(wǎng)絡(luò)系統(tǒng)合法用戶被冒充、非授權(quán)訪問(wèn)、系統(tǒng)正常運(yùn)行被干擾、完整數(shù)據(jù)被破壞、網(wǎng)絡(luò)被惡意攻擊、利用網(wǎng)絡(luò)傳播病毒等[1]。要更好地進(jìn)行ETC技術(shù)的推廣，又需要建立強(qiáng)有力的信用管理體系，創(chuàng)建良好的高速公路出行環(huán)境，減少聯(lián)網(wǎng)收費(fèi)運(yùn)營(yíng)中的風(fēng)險(xiǎn)，促進(jìn)全國(guó)聯(lián)網(wǎng)收費(fèi)秩序的穩(wěn)定。要實(shí)現(xiàn)這一目標(biāo)，必須重視高速公路網(wǎng)絡(luò)信息安全保障體系建設(shè)[2]。

各省高速運(yùn)營(yíng)公司在實(shí)施高速“ETC+”網(wǎng)絡(luò)平臺(tái)更新服務(wù)時(shí)，已經(jīng)基本開(kāi)始規(guī)劃設(shè)計(jì)相應(yīng)系統(tǒng)安全改造工作，并加以優(yōu)化與調(diào)整達(dá)到安全要求。如按照交通運(yùn)輸部《取消高速公路省界收費(fèi)站總體技術(shù)方案》(交公路函〔2019〕320號(hào))規(guī)定，在中國(guó)采用從公共云平臺(tái)中選擇的云計(jì)算基礎(chǔ)設(shè)施，為在中華人民共和國(guó)境內(nèi)的所有等級(jí)為第三級(jí)備案證明的廠商。

中國(guó)典型省級(jí)高速公路“互聯(lián)網(wǎng)+”信息化服務(wù)總體框架，采用了云平臺(tái)基礎(chǔ)架構(gòu)和物聯(lián)網(wǎng)思路，并采用了云服務(wù)體系框架，系統(tǒng)總體架構(gòu)分為7個(gè)層面、3個(gè)體系，7層級(jí)分別為：互聯(lián)網(wǎng)基礎(chǔ)設(shè)施層、大數(shù)據(jù)資源層、應(yīng)用支撐層、業(yè)務(wù)支撐層、業(yè)務(wù)服務(wù)層、門戶網(wǎng)站層、使用終端層；3個(gè)體系依次為：信息安全標(biāo)準(zhǔn)規(guī)范體系、網(wǎng)絡(luò)安全保證體系、企業(yè)信息化運(yùn)營(yíng)管理保障體系，其中信息化和網(wǎng)絡(luò)安全建設(shè)相對(duì)成熟。

在各類系統(tǒng)網(wǎng)絡(luò)部署按密級(jí)由低到高分為3個(gè)區(qū)域，包括公有云區(qū)域、DMZ區(qū)域和收費(fèi)網(wǎng)區(qū)域。其中公有云區(qū)域作為支撐互聯(lián)網(wǎng)訪問(wèn)的流量入口，通過(guò)WAF、負(fù)載均衡、堡壘機(jī)、VPC隔離、云安全中心、數(shù)據(jù)庫(kù)審計(jì)等網(wǎng)絡(luò)安全服務(wù)，智能化實(shí)時(shí)攻擊監(jiān)測(cè)、病毒查殺、漏洞修補(bǔ)、基線核查和安全審計(jì)；DMZ區(qū)域作為收費(fèi)網(wǎng)對(duì)外隔離緩沖區(qū)，部署了防火墻、應(yīng)用安全網(wǎng)關(guān)實(shí)現(xiàn)了訪問(wèn)控制和安全通道加密；收費(fèi)網(wǎng)區(qū)域是安全級(jí)別最高區(qū)域，是ETC收費(fèi)核心區(qū)域，部署了入侵檢測(cè)、態(tài)勢(shì)感知、安全審計(jì)等多重安全防護(hù)設(shè)備。各個(gè)區(qū)域均有專業(yè)網(wǎng)絡(luò)安全運(yùn)維服務(wù)人員進(jìn)行維護(hù)和監(jiān)測(cè)。

三、攻防演練暴露安全問(wèn)題分析

分析現(xiàn)狀，可看出網(wǎng)絡(luò)安全架構(gòu)已經(jīng)設(shè)計(jì)的比較完善，采用的安全服務(wù)也是目前主流互聯(lián)網(wǎng)企業(yè)提供的服務(wù)，抵御過(guò)多次正面網(wǎng)絡(luò)攻擊，但北京交科公路勘測(cè)設(shè)計(jì)研究所盛剛談及網(wǎng)絡(luò)安全問(wèn)題時(shí)表示：一方面不管是在方案設(shè)計(jì)或者施工方面，都偏重于系統(tǒng)的技術(shù)人員或者設(shè)備方面，而缺少了整個(gè)系統(tǒng)的思想觀念或者管理思想；另一方面重心置于外來(lái)威脅和侵入，而忽視內(nèi)部的控制[3]；安全現(xiàn)階段外部風(fēng)險(xiǎn)多源于黑客行為，包括木馬程序、網(wǎng)絡(luò)安全缺陷、以及各種病毒等；而內(nèi)部風(fēng)險(xiǎn)多源于管理疏漏，包括管理人員對(duì)監(jiān)控手段的疏漏、不規(guī)范運(yùn)行方式，同時(shí)供應(yīng)鏈安全也是造成整個(gè)系統(tǒng)遭受風(fēng)險(xiǎn)的主要因素之一。

（一）網(wǎng)絡(luò)攻擊過(guò)程回溯

攻防演練主要在有授權(quán)的前提下站在攻擊者的視角，采用模擬黑客所用的工具、分析方法實(shí)施虛擬攻防，以檢驗(yàn)當(dāng)前安全防御對(duì)策，尋找風(fēng)險(xiǎn)點(diǎn)。

在該次攻防演練過(guò)程中，攻擊者從正面使用了大量安全漏洞掃描、腳本攻擊和爆破破解等高危攻擊方法，尤其是在第一周內(nèi)，工具類掃描、嗅探、暴力破解、高級(jí)工具請(qǐng)求占比超過(guò)80%，防守方基于態(tài)勢(shì)感知?jiǎng)討B(tài)防護(hù)系統(tǒng)對(duì)于稍微異常的IP就可以直接進(jìn)行邊界封堵，同時(shí)可多引擎實(shí)時(shí)檢測(cè)，大數(shù)據(jù)防御也能及時(shí)預(yù)警，并針對(duì)大量0day漏洞提供抵御工具或方法。因此，演練初期時(shí)，在防守方看來(lái)系統(tǒng)防護(hù)還是比較穩(wěn)固，攻擊者沒(méi)有造成有效攻擊。

然而站在黑客的視角下，正面攻擊只是攻擊策略佯攻部分，演練后重新審視其攻擊流程如圖1所示，會(huì)發(fā)現(xiàn)攻擊者更專注于尋找目標(biāo)系統(tǒng)短板，正面攻擊都是工具自動(dòng)產(chǎn)生的攻擊流量，迂回攻擊才是真正隱蔽攻擊。

圖1 攻擊流程

通過(guò)對(duì)攻防演練滲透分析報(bào)告所描述的攻擊過(guò)程進(jìn)行還原，總結(jié)其完整攻擊過(guò)程。

1.攻擊方通過(guò)周邊打擊策略，對(duì)平臺(tái)域名踩點(diǎn)并做供應(yīng)鏈摸排，找到平臺(tái)應(yīng)用開(kāi)發(fā)供應(yīng)商；

2.對(duì)供應(yīng)商主站進(jìn)行探測(cè)，找到其存放軟件源代碼的源碼庫(kù)地址，并成功利用該源碼站點(diǎn)存在的0day漏洞獲取到源碼平臺(tái)服務(wù)器權(quán)限；

3.進(jìn)入服務(wù)器后，開(kāi)展內(nèi)網(wǎng)探測(cè)，利用永恒之藍(lán)漏洞獲取到一名開(kāi)發(fā)人員的終端權(quán)限，并成功得到攻擊目標(biāo)的源代碼；

4.對(duì)獲取的源代碼進(jìn)行審計(jì)，發(fā)現(xiàn)反序列化0day漏洞，直接獲取了目標(biāo)平臺(tái)的服務(wù)器權(quán)限；

5.在該服務(wù)器上進(jìn)行數(shù)據(jù)庫(kù)連接，獲取了ETC聯(lián)網(wǎng)收費(fèi)各類敏感信息（包括用戶注冊(cè)姓名、手機(jī)號(hào)碼、車牌號(hào)、身份證號(hào)等）；

6.在該服務(wù)器上發(fā)現(xiàn)登錄碼云私鑰，獲取到大量行業(yè)系統(tǒng)源代碼；

7.以該服務(wù)器為跳板，成功突入ETC收費(fèi)網(wǎng)，但最后在防守方的抵抗反制后終止?jié)B透探測(cè)。

（二）安全問(wèn)題分析和總結(jié)

通過(guò)回溯攻擊過(guò)程，對(duì)攻防演練中暴露出的安全問(wèn)題進(jìn)行分析和總結(jié)，找到當(dāng)前信息化服務(wù)安全防范過(guò)程中的核心短板，為信息化服務(wù)安全防范水平提高找到解決方案，為信息化服務(wù)安全體系建設(shè)提供參考。

1.域名踩點(diǎn)，供應(yīng)鏈摸排拿到GitLab代碼庫(kù)地址

平臺(tái)App存在依賴供應(yīng)商提供的SaaS服務(wù)，平臺(tái)App在運(yùn)行中連接了供應(yīng)商服務(wù)器，為攻擊方找到供應(yīng)商留下了線索。

2.根據(jù)供應(yīng)商GitLab代碼庫(kù)0day漏洞拿到服務(wù)器權(quán)限并進(jìn)入供應(yīng)商內(nèi)網(wǎng)

供應(yīng)商更多關(guān)注于軟件業(yè)務(wù)功能實(shí)現(xiàn)，很少在網(wǎng)絡(luò)安全方面，尤其是網(wǎng)絡(luò)隔離防護(hù)、漏洞管理和代碼管理方面開(kāi)展有效防范，同時(shí)供應(yīng)商本地網(wǎng)絡(luò)缺乏入侵檢測(cè)、態(tài)勢(shì)感知等防護(hù)手段，對(duì)攻擊者攻擊無(wú)感，導(dǎo)致服務(wù)器輕易淪陷。

3.通過(guò)代碼服務(wù)器權(quán)限獲取到一臺(tái)開(kāi)發(fā)人員電腦權(quán)限

供應(yīng)商內(nèi)部網(wǎng)絡(luò)沒(méi)有隔離，無(wú)安全措施，同時(shí)對(duì)于內(nèi)網(wǎng)終端也沒(méi)有進(jìn)行安全加固和補(bǔ)丁升級(jí)，開(kāi)發(fā)人員安全意識(shí)不足，缺乏有效安全教育和培訓(xùn)，導(dǎo)致開(kāi)發(fā)終端還存在幾年前的永恒之藍(lán)漏洞，攻擊者取得開(kāi)發(fā)人員電腦權(quán)限后，獲取到最新的平臺(tái)核心源代碼。

4.審計(jì)代碼，發(fā)現(xiàn)可利用反序列化漏洞

源代碼經(jīng)審計(jì)存在大量高危漏洞，軟件代碼質(zhì)量低，編碼不規(guī)范，軟件開(kāi)發(fā)人員對(duì)于安全編碼了解不多。其中一處接口代碼存在反序列化漏洞，可以利用該漏洞直接獲取服務(wù)器權(quán)限。

5.利用服務(wù)器連接核心數(shù)據(jù)庫(kù)，獲取大量敏感信息

通過(guò)服務(wù)器查找應(yīng)用配置文件獲取到數(shù)據(jù)庫(kù)權(quán)限，暴露出數(shù)據(jù)庫(kù)連接字符串在程序配置文件中明文存儲(chǔ)，沒(méi)有進(jìn)行加密等問(wèn)題，同時(shí)在數(shù)據(jù)庫(kù)中發(fā)現(xiàn)了人員敏感信息和大量收費(fèi)信息，均沒(méi)有利用密碼技術(shù)進(jìn)行加密存儲(chǔ)保護(hù)，全部明文存儲(chǔ)在數(shù)據(jù)庫(kù)中，一旦外界防線被突破，存儲(chǔ)信息即會(huì)泄露。

6.以該服務(wù)器為跳板，突破網(wǎng)絡(luò)限制進(jìn)入收費(fèi)網(wǎng)

被控制服務(wù)器在阿里云，與收費(fèi)網(wǎng)有通信連接，攻擊者對(duì)流量進(jìn)行審計(jì)，發(fā)現(xiàn)收費(fèi)網(wǎng)IP地址，并以此服務(wù)器為跳板，成功進(jìn)入收費(fèi)網(wǎng)，由于收費(fèi)網(wǎng)建設(shè)密級(jí)和防守等級(jí)更高，該攻擊被防守方實(shí)時(shí)檢測(cè)到并加強(qiáng)了防守，未能讓攻擊方獲取有效數(shù)據(jù)，但已經(jīng)導(dǎo)致攻擊方可通過(guò)有權(quán)限的服務(wù)器訪問(wèn)收費(fèi)網(wǎng)業(yè)務(wù)系統(tǒng)前置服務(wù)接口，可通過(guò)分析代碼和業(yè)務(wù)偽造指令非法獲取數(shù)據(jù)等。

上述針對(duì)攻防演練發(fā)現(xiàn)的技術(shù)和管理問(wèn)題，暴露出信息化服務(wù)建設(shè)和運(yùn)營(yíng)過(guò)程中，各參與方的網(wǎng)絡(luò)安全防護(hù)能力參差不齊、網(wǎng)絡(luò)安全管理粗放、安全意識(shí)淡薄、管理制度不落地、安全運(yùn)維水平低等問(wèn)題，信息化服務(wù)安全防范整體存在著明顯短板情況，同時(shí)暴露出平臺(tái)建設(shè)運(yùn)營(yíng)主體責(zé)任落實(shí)不到位，對(duì)外包及第三方服務(wù)單位缺乏有效管控。

四、安全防范解決方案

網(wǎng)絡(luò)安全的構(gòu)建是木桶效應(yīng)理論，對(duì)于防守方來(lái)說(shuō)，平臺(tái)整體的安全服務(wù)等級(jí)只取決于最弱環(huán)節(jié)，目前業(yè)界已經(jīng)廣泛認(rèn)同構(gòu)建縱深安全防御系統(tǒng)，該平臺(tái)即是按照縱深安全防御理念進(jìn)行的基于環(huán)境安全防御、終端安全防御、應(yīng)用安全防御等3個(gè)方面的安全防御，投入大量資金來(lái)構(gòu)建一個(gè)相對(duì)穩(wěn)固的防御體系，依然難以做到面面俱到，突破點(diǎn)可能是一個(gè)弱口令、一段泄露的源代碼、一個(gè)開(kāi)源組件、一個(gè)失效的安全策略，乃至一個(gè)編碼錯(cuò)誤或一次疏忽等。對(duì)于攻擊方來(lái)說(shuō)，只需要針對(duì)目標(biāo)系統(tǒng)找到一個(gè)最薄弱地方單點(diǎn)突破即可能全面攻破。

對(duì)于攻防演練中發(fā)現(xiàn)的問(wèn)題，第一時(shí)間做了緊急安全處置，消除已經(jīng)暴露的風(fēng)險(xiǎn)外，做了深度整改。

（一）域名和服務(wù)清理

徹底杜絕使用供應(yīng)商域名，對(duì)于使用供應(yīng)商SaaS服務(wù)的，應(yīng)要求供應(yīng)商做安全策略，防止攻擊踩點(diǎn)向供應(yīng)商方向摸排，同時(shí)也關(guān)注不同系統(tǒng)間的橫向隔離。

（二）平臺(tái)接口在應(yīng)用層進(jìn)行密碼應(yīng)用改造

基于合規(guī)密碼技術(shù)安全改造對(duì)平臺(tái)接口，杜絕外界滲透與嗅探，進(jìn)一步升級(jí)接口應(yīng)用認(rèn)證和數(shù)據(jù)加密，用安全API存儲(chǔ)重要中間數(shù)據(jù)，私鑰在采用國(guó)密算法的國(guó)產(chǎn)加密機(jī)安全介質(zhì)里存儲(chǔ)，活體無(wú)法接觸。

（三）數(shù)據(jù)庫(kù)敏感字段脫敏與加密存儲(chǔ)改造

盤點(diǎn)平臺(tái)數(shù)據(jù)資產(chǎn)、制定各子系統(tǒng)權(quán)責(zé)與分類分級(jí)標(biāo)準(zhǔn)，梳理加密和敏感數(shù)據(jù)項(xiàng)并輸出文檔，在數(shù)據(jù)庫(kù)中對(duì)相應(yīng)字段做敏感數(shù)據(jù)識(shí)別標(biāo)簽，結(jié)合國(guó)產(chǎn)加密機(jī)對(duì)敏感數(shù)據(jù)做脫敏與加解密服務(wù)。

（四）配置文件明文改密文

檢查平臺(tái)配置文件，包括但不限于數(shù)據(jù)庫(kù)連接串、第三方接口鑒權(quán)碼、密鑰的明文在程序配置的配置項(xiàng)梳理并輸出文檔。對(duì)程序配置文件讀取接口改造，對(duì)接支持國(guó)產(chǎn)加密機(jī)做密文加密服務(wù)。平臺(tái)增加代碼審計(jì)與程序發(fā)布流程管理，所有的配置文件不存儲(chǔ)于源代碼庫(kù)，程序發(fā)布時(shí)也不發(fā)布配置文件。

（五）源碼與安全管理

在代碼部署的整個(gè)流程上涉及崗位及工具眾多，在系統(tǒng)網(wǎng)絡(luò)安全上需精心選型并結(jié)合實(shí)際搭建，以統(tǒng)一流程工具、打通服務(wù)，并設(shè)置好管理崗位卡口。從需求管理階段開(kāi)始一直到應(yīng)用服務(wù)發(fā)布及持續(xù)運(yùn)營(yíng)迭代升級(jí)，將整個(gè)平臺(tái)軟件的生命周期均納入管理。

（六）供應(yīng)商管理

對(duì)選擇的供應(yīng)商提出安全管理要求，從人員安全管理、終端安全管理、代碼安全管理、安全編碼管理、安全教育培訓(xùn)等多方面進(jìn)行監(jiān)督考核，徹底改善供應(yīng)鏈安全環(huán)境，消除供應(yīng)鏈安全隱患。

五、結(jié)語(yǔ)

針對(duì)攻防演練暴露的問(wèn)題，我們認(rèn)識(shí)到在“互聯(lián)網(wǎng)+”信息化服務(wù)大背景下，做好網(wǎng)絡(luò)安全任重而道遠(yuǎn)，且做好網(wǎng)絡(luò)安全又是極其重要和必要的，不能單純依靠大投入為自身構(gòu)建縱深安全防御系統(tǒng)，也需要補(bǔ)齊供應(yīng)鏈安全的核心短板。未來(lái)大數(shù)據(jù)、“互聯(lián)網(wǎng)+”等新一代信息技術(shù)的發(fā)展將更加開(kāi)放、智能與融合。黑客等潛在威脅將以利益驅(qū)動(dòng)為主，不再單純搞破壞，更多是勒索與販賣信息，攻擊手段也從單一方式轉(zhuǎn)變?yōu)閺?fù)合手段。實(shí)現(xiàn)高智能技術(shù)與動(dòng)態(tài)化維護(hù)升級(jí)與支撐，不斷發(fā)現(xiàn)并彌補(bǔ)短板，才是中國(guó)網(wǎng)絡(luò)安全科技的發(fā)展之道。